Microsoft : six mises à jour critiques pour débuter 2016

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Microsoft : six mises à jour critiques pour débuter 2016

Publié le 13 janvier 2016 à 10:50 par Jérôme G.

Lire sur mobile

Premier Patch Tuesday de l'année 2016 pour Microsoft. Au programme, neuf mises à jour pour Windows, Microsoft Edge, Internet Explorer, Office, Exchange Server et Silverlight. Six sont critiques. C'est la der des der pour certaines versions de produits.

Les compteurs sont remis à zéro pour le nombre de vulnérabilités où OS X, iOS et Flash sont arrivés en tête en 2015. L'année 2016 débute avec neuf mises à jour de sécurité pour des produits de Microsoft afin de corriger un total de vingt-cinq vulnérabilités. Six mises à jour sont cataloguées critiques. Aucune exploitation active n'a toutefois été détectée pour le moment.

MS16-001 et MS16-002 concernent les navigateurs Internet Explorer et Microsoft Edge. Elles corrigent chacune deux vulnérabilités. " Seulement " deux dans le cas d'Internet Explorer où le nombre de failles comblées est généralement plus élevé. Plusieurs versions d'Internet Explorer ont en outre ici droit à des patchs pour la dernière fois. À partir d'aujourd'hui, la politique de support de Microsoft est de ne prendre en charge que la plus récente version d'Internet Explorer disponible pour une plateforme Windows donnée. En l'occurrence et pour les versions clientes de Windows : IE11 pour Windows 10, 8.1 et 7 ; IE9 pour Windows Vista.

MS16-003 est une mise à jour de sécurité cumulative pour corriger une vulnérabilité d'exécution de code à distance dans le moteur de script VBScript de Windows. Sont concernés Windows Vista et Server 2008.

MS16-005 corrige des vulnérabilités pour les pilotes en mode noyau Windows. Un attaquant pourrait contourner la protection de randomisation du format d'espace d'adresse (ASLR) mais le risque n'est par critique contrairement à un problème de traitement des objets en mémoire avec Windows 7, Windows Vista et Server 2008. Toutes les versions de Windows sont néanmoins concernées par MS16-005. Rappelons que Microsoft arrête aujourd'hui le support de Windows 8 mais pas de son successeur direct Windows 8.1 qui est assimilé à son Service Pack.

MS16-004 corrige plusieurs vulnérabilités dans Microsoft Office dont l'exploitation permet une exécution de code à distance. Dans le lot des patchs, les versions 2007 à 2016 d'Office sont concernées, de même que Office pour Mac et RT. La dernière mise à jour critique est MS16-006 pour une vulnérabilité dans le plugin Silverlight.

On remarquera que les mises à jour de sécurité vont de MS16-001 à MS16-010 mais avec l'absence de MS16-009. Cela laisse supposer que Microsoft l'a retirée à la dernière minute afin de procéder à des tests supplémentaires.